Cómo aprendí a dejar de preocuparme y aceptar la conformidad
En el mundo actual, la conformidad es esencial. La capacidad de garantizar la confianza y fortalecer la reputación de una empresa es un requisito innegociable y está indisolublemente ligado a las normas de ciberseguridad. Sin embargo, la elaboración y la consolidación de programas de conformidad, en probablemente todas nuestras experiencias, no es nada fácil. Como responsables de seguridad, tenemos que saber cómo adherirnos a un conjunto cada vez mayor de reglamentos, legislaciones y normas, la mayoría de los cuales parecen incongruentes. Esta complejidad hace que el hecho de lograr, cumplir y ofrecer conformidad parezca un problema.
En Cloudflare, dedicamos importantes recursos a comprender los requisitos de conformidad, implementar los procesos y controles de seguridad adecuados, supervisar los cambios en nuestro entorno y realizar evaluaciones que demuestren nuestra conformidad con la legislación. En un momento anterior de mi carrera, me habría parecido una obligación. Sin embargo, tras 20 años trabajando en ciberseguridad, por fin he dejado de preocuparme y he aprendido a valorar la conformidad por lo que nos permite conseguir como comunidad, no por lo que nos quita.
Fuente de la imagen: Dr. Strangelove or: How I Learned to Stop Worrying and Love the Bomb
Cómo integrar la conformidad en un enfoque de la seguridad basado en los resultados
La tradicional incapacidad para comprender la magnitud de las amenazas a la ciberseguridad ha conducido a un mundo que ha normalizado la dependencia de tecnologías fundamentalmente poco seguras. Durante demasiado tiempo, la velocidad y los costes han prevalecido sobre los valores de la seguridad y la privacidad. Este enfoque ha sido un fracaso tanto de la política, como de la gestión y la capacidad y, sobre todo, un fracaso de la imaginación.
En el Departamento de Defensa y en la Agencia de Seguridad Nacional, nos centramos mucho en la "misión", que para muchos es un enfoque basado en los resultados para resolver problemas críticos. Este planteamiento implica erróneamente una omisión de la conformidad en favor de una amenaza en toda regla. En mi experiencia, nunca fue así. Los resultados y la conformidad eran siempre vías paralelas que conducían a la reducción del riesgo operativo, así como a una mayor reflexión y creatividad.
Los responsables de ciberseguridad tenemos la responsabilidad de alinear la política y la estrategia como punto de partida fundamental para mejorar la seguridad, generar confianza y forjar nuevas relaciones. Si adoptamos este enfoque, podremos aplicar soluciones orientadas a la misión de solucionar los problemas asociados a la protección de los datos de los usuarios y la propiedad intelectual, la prevención de robos financieros y, en algunos casos, daños materiales.
Cómo promover la conformidad para reforzar la seguridad
Es difícil generar confianza y fácil perderla. Sin duda, el incumplimiento de la normativa puede suponer sanciones, pero también pérdida de confianza en clientes y socios.
Todos sabemos que los requisitos de conformidad suelen exigir la cumplimentación de formularios en lugar de reducir los riesgos operativos. Por este motivo, considero que la práctica de la ciberseguridad en sectores muy regulados, y muy específicos, como la sanidad, los servicios financieros y la seguridad nacional es un buen ejemplo para todos nosotros. En estos campos, las organizaciones hacen algo más que seleccionar casillas, se someten voluntariamente a normas aún más estrictas que las exigidas por la normativa.
Nuestro trabajo de seguridad comienza cuando cumplimos las normas. Como herramienta, la conformidad nos permite expresar nuestro trabajo, mirar a nuestro alrededor y ver en quién podemos confiar, y empezar a abordar el arduo trabajo de eliminar las amenazas. A menudo oímos que un informe SOC o una certificación ISO deberían poner fin a las fugas de seguridad, pero siguen produciéndose. ¿Por qué? La respuesta es que la conformidad de marcos y normas es solo una forma que nos permite detectar rápido cuando algo está fallando. Nunca permitirá a las empresas o los equipos evitar incidentes y vulnerabilidades. Para ello, se requiere un enfoque aún más exhaustivo de ciberseguridad, basado en controles técnicos.
En Cloudflare, cumplimos regulaciones y normas clave, y hemos conseguido varias certificaciones importantes. Cumplimos las normas por las oportunidades que pueden crear, pero esto no es todo. Seguimos centrados en nuestra misión de mejorar Internet para aumentar la seguridad. No solo estamos abordando el cumplimiento, sino implementando funciones de seguridad avanzadas que protegerán nuestro negocio, y a nuestros socios y clientes. Cloudflare se fundó para ayudaros a ti y a tus clientes a estar más seguros en Internet. Infórmate acerca de las certificaciones que nos ayudan a garantizar esa seguridad.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Autor
Oren Falkowitz — @orenfalkowitz
Responsable de seguridad, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Cómo considerar la conformidad como un mecanismo de ayuda y no como un problema
Los marcos y las normas nunca eliminarán los incidentes ni la exposición
La implementación de una seguridad avanzada más allá de la conformidad básica protegerá la empresa, a los socios y a los clientes